Teknisk

Feides arkitektur

Den generelle Feide-arkitekturen hos vertsorganisasjonen består av ett eller flere kildesystemer, et brukeradministrativt system (BAS) og en LDAP brukerkatalog. Et vanlig begrep for en slik type løsning, som håndterer personopplysninger, er IdM-løsning (IdM: Identity Management). I tillegg til den lokale IdM-løsningen, kommer Feides innloggingstjeneste og en eller flere digitale tjenester, lokale og nasjonale.

Figuren nedenfor viser en typisk IdM-løsning hos en vertsorganisasjon.

Skjematisk fremstilling av Feide vertsorganisasjon

Følgende dokumenter beskriver Feide-arkitekturen og hvordan en lokal IdM-løsning kan bygges opp:

Brukerkatalogen

En viktig egenskap ved Feide er at ingen personopplysninger oppbevares i et sentralt register – alle personopplysninger er lagret lokalt hos brukernes vertsorganisasjoner. Når en bruker logger på en tjeneste, vil Feide kontakte vertsorganisasjonens lokale brukerkatalog for å be om brukerens personopplysninger. Personopplysningene blir så midlertidig lagret av Feide til brukeren logger av, eller i maksimalt 8 timer. Merk at Feide har en egen avtale med hver tjeneste som sier hvilke personopplysninger tjenesten skal få utlevert når en bruker logger seg på med Feide.

Brukerkatalogen skal være en LDAP-katalog, og Feide krever at visse opplysninger skal ligge i denne katalogen. Kravene Feide stiller til struktur på data i organisasjonenes LDAP-katalog er basert på norEdu*-spesifikasjonen. I tillegg til denne spesifikasjonen finnes to dokumenter, ett for grunnopplæringa og ett for høgere utdanning, som definerer hvilke av attributtene fra norEdu*-spesifikasjonen som er obligatoriske og anbefalte:

Som en del av prosessen med å koble en vertsorganisasjon til Feide, vil Feide etter avtale med vertsorganisasjonen gjøre en automatisk sjekk av innholdet i katalogen. Denne sjekken går gjennom alle person- og organisasjonsobjekter i katalogen og lager en rapport som blant annet viser om alle obligatoriske attributter er satt. Ta kontakt med oss om dere er klar for eller ønsker mer informasjon om LDAP-sjekken.

Brukeradministrativt system (BAS)

Feide krever at alle vertsorganisasjoner etablerer et digitalt system for all håndtering av brukerinformasjon, et brukeradministrativt system (BAS). All informasjon i LDAP-katalogen hentes fra BAS.

Et BAS kan importere data fra kildesystemer, f.eks. registre over studenter og ansatte, eller data kan være registrert direkte i BAS. Fra BAS eksporteres data om brukere og organisasjon til brukerkatalogen. Denne eksporten skal gjøres minst én gang i døgnet for å sikre oppdaterte opplysninger i brukerkatalogen.

Eksempler på  implementasjoner av BAS som er i drift i Feide:

  • MicroFocus IDM.
  • Microsoft: MIIS (Microsoft Identity and Integration Server) og AD 
  • Åpen kildekode: Cerebrum som BAS og OpenLDAP

Hver av de alternative løsningene har sin egen BAS brukergruppe, hvor de som er interessert i en løsning kan diskutere og utveksle erfaringer blant annet gjennom e-postlister og egne websider.